简介
本文档介绍为什么LDAP组查询在邮件安全设备(ESA)上不起作用。
为什么LDAP组查询不适用于Active Directory?
LDAP组查询与绝对是指定组成员的用户进行测试时,为什么没有生成预期结果?
对于使用Microsoft Active Directory的组查询,必须使用组的可分辨名称(DN),而不是其公用名称(CN)。下面是这两个项目的一些示例:
公用名称 (cn):
管理员
Phoenix用户
可分辨名称(DN):
CN=Administrators, DC=Example, DC=Com
CN=Phoenix-Users, OU=Phoenix, DC=Cisco, DC=Com
如果您不确定DN是什么,您可以在Active Directory用户和计算机中找到此项:
- 转到“View”(查看)菜单并选择“Advanced Features”(高级功能)
- 从所需的组对象的属性中,单击“属性编辑器”
- 滚动到“distinguishedName”属性,然后双击该属性
- 应突出显示完整字符串。 右键单击并复制到剪贴板
一旦您拥有组的DN,只要您指定组的名称,就可以使用它。 这包括测试查询、内容和邮件过滤器以及邮件策略。
另一种方法是使用以下两个程序之一来查找DN:
ADExplorer:
http://technet.microsoft.com/en-us/sysinternals/bb963907.aspx
Softerra LDAP浏览器:
http://www.ldapadministrator.com/download.htm
为此,使用这些工具之一的一般流程概述如下:
- 使用LDAP浏览工具连接到域控制器
- 查找作为组成员的用户对象
- 查找用户对象的“memberOf”属性
- 查找对应于您尝试定位的组的DN
- 从此属性复制目标组的DN